767 млн украденных записей, 250 взломов и 27 новых APT-групп. Главное из отчета F6 о кибервойне против России в 2025 году.

Компания F6 опубликовала ежегодный аналитический отчет «Киберугрозы в России и Беларуси. Аналитика и прогнозы 2025/26». По оценке аналитиков, в 2026 году на фоне геополитического конфликта давление на российские организации будет усиливаться: станет больше атакующих группировок, а общий ущерб - расти. Отдельно в F6 отмечают сближение подходов кибервымогателей и прогосударственных APT-групп: они заимствуют тактики друг у друга, а политически мотивированные команды все чаще используют шифрование данных с требованием выкупа.

Один из заметных трендов 2025 года - снижение числа публичных утечек при одновременном росте объема похищенных данных. По данным Threat Intelligence F6, на андеграундных форумах и в тематических Telegram-каналах за год появилось 250 новых случаев публикации баз данных компаний СНГ, из них 230 относятся к российским организациям. Годом ранее таких случаев было 455. При этом суммарный объем утечек за 2025 год, по подсчетам F6, превысил 767 млн строк с данными российских пользователей против 457 млн строк в 2024 году.

В топ-5 самых крупных утечек 2025 года по числу строк оказались сразу четыре госсервиса, на которые в сумме пришлось около 600 млн строк. Как и прежде, многие базы выкладывали в открытый доступ бесплатно - чтобы нанести максимальный ущерб компаниям и их клиентам. Наибольшую ценность для злоумышленников представляют наборы с электронными адресами, номерами телефонов и паролями: такую информацию затем используют в мошеннических схемах и каскадных атаках на крупные организации. В отчете также приводятся детали по структуре данных: более 315 млн записей содержали электронные адреса, но уникальными оказались только 88 млн; еще 156 млн записей включали пароли, из которых 142 млн были уникальными.

Сохраняется и рост прогосударственной активности. В 2025 году F6 фиксировала действия 27 APT-групп, атакующих Россию и СНГ (для сравнения: 24 группы в 2024 году). Из этих 27 групп 24 атаковали российские компании, 8 - организации в Беларуси. На фоне конфликта, по оценке F6, за большинством атак стоят проукраинские группы, при этом кибершпионаж в России продолжают вести и группировки из других стран, преимущественно Азии. Впервые публично раскрыты семь новых APT-групп: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak и NGC5081; часть из них начала атаки раньше, но выявить их смогли только в 2025 году.

Статистика активности прогосударственных APT-групп.

В числе наиболее атакуемых отраслей в России за год, по данным отчета, оказались госучреждения, промышленность, НИИ, предприятия ВПК и ТЭК. Отдельно подчеркивается необычная для APT-профиля деталь: в атаках против российских организаций прогосударственные участники использовали 0-day-эксплойты, инструменты и доступы в инфраструктуру, которые, вероятно, были приобретены на андеграундных площадках - это чаще характерно для вымогателей и финансово мотивированных групп. Также сохраняют эффективность атаки через цепочку поставок и подрядчиков: в F6 приводят пример инцидента, когда две прогосударственные группы одновременно находились в сети ИТ-подрядчика компании-цели, а одна из них атаковала еще и клиентов жертвы. Прогноз на 2026 год - такие техники будут активно применять и вымогатели, и APT.

Сегмент вымогателей, по данным F6, в 2025 году вырос на 15% по числу атак по сравнению с предыдущим годом, при этом увеличилась доля инцидентов, где целью была не монетизация, а диверсия и максимальный ущерб: 15% против 10% в 2024 году. Кроме групп-вымогателей, аналитики отмечают активность более чем 20 финансово мотивированных группировок, среди них Vasy Grek, Hive0117 и CapFIX. Среди наиболее активных проукраинских групп выделяются Bearlyfy (ЛАБУБУ) с не менее чем 55 атаками, THOR (не менее 12), а также 3119 (TR4CK), Blackjack (Mordor) и Shadow (у каждой не менее 4). В отчете также приведен рекорд по первоначальному требованию выкупа в 2025 году: группировка CyberSec’s запросила 50 BTC, что на момент атаки оценивалось примерно в 500 млн рублей; типичный диапазон стартовых требований, по данным F6, составлял от 4 млн до 40 млн рублей.

Статистика по киберугрозам в 2025 году

По словам CEO F6 Валерия Баулина, в России заметен сдвиг от массовых атак к сценариям с максимальным ущербом - остановкой бизнеса, многомиллионными выкупами и кражей чувствительных данных. В компании ожидают, что в 2026 году продолжит расти число групп атакующих и суммы ущерба, включая запросы за расшифровку данных. Одновременно усилится тренд на коллаборации между прогосударственными группами, киберкриминалом и хактивистами, а вместе с реальными атаками будут чаще появляться информационные операции: фейковые новости и рассылки писем с угрозами, особенно в дни резонансных сообщений о взломах.